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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

Prufungsantrag gem. § 44 PatG ist gestellt 

(g) Verfahren zum Schutz eines Mikrorechners und geschiitzter Mikrorechner 

@ Es wird ein Verfahren zum Schutz eines Mikrorechners 
gegen Manipulation seines Programms bzw. ein derart 
geschutzter Mikrorechner vorgeschlagen. Der Mikrorech- 
ner (1) weist einen Rechnerkern (2) einen nur Lesespei- 
cher (3) und einen wiederbeschreibbaren Speicher (5) auf. 
Im nur Lesespeicher (3) ist ein Oberprufungsprogramm 
gespeichert, das mittels eines Schlussels aus denn Spei- 
cherinhalt des wiederbeschreibbaren Speichers (5) ein 
Codewort bildet. Das Codewort wird dann mit einem Ver- 
gleichscodewort verglichen, das ebenfalls im wiederbe- 
schreibbaren Speicher (5) abgelegt ist. In Abhangigkeit 
von diesem Vergleich wird der Mikrorechner gesperrt 
Oder freigegeben. ' 
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Beschreibung 

Stand der Technik 

Die Erfindung geht aus von einem Verfahren zum Schutz 
eines Mikrorechners bzw. einem geschiilzlen Mikrorechner 
nach der Gattung der unabhangigen Patentanspriiche. Es 
sind bereits Verfahren zum Schutz von Mikrorechner und 
geschiitzte Mikrorechner bekannt, die einen nur Lesespei- 
cher und einen wiederbeschreibbaren Speicher aufweisen. 
Dabei wird im wiederbeschreibbaren Speicher ein Pro- 
gramm gespeichert, Um dieses Programm vor einer uner- 
laubten Manipulation zu schiitzen, werden die Befehle des 
Mikrorechners, die sich auf eine Veranderung des Speicher- 
inhaltes richten, besonders geschiitzt. Derartige Befehle 
werden nur dann von dem Mikrorechner ausgefiihrt, wenn 
zuvor eine ZugrifiFsberechtigung durch ein PaBwort verifi- 
ziert wurde, Weiterhin ist es bekannt den Speicherinhalt ei- 
nes wiederbeschreibbaren Speichers dadurch zu schutzen, 
daB an mehreren Stellen im Speicher Checksummen iiber ei- 
nen gewissen Speicherbereich abgelegt sind. Bel der Aus- 
fiihrung des Programms werden dann diese Checksummen 
mit dem Inhalt der Speicherbereiche veiglichen, so daB eine 
teilweise Veranderung des Speicherinhalts nur dann erfolg- 
reich ist, wenn gleichzeitig auch die Checksummen veran- 
dert werden. 

Wenn jedoch die Speicherplatze auf denen die Check- 
summen abgelegt werden bekannt sind, kann eine Manipu- 
lation des Speicherinhalts nicht verhindert werden. 

Vorteile der Erfindung 

Das erfindungsgemaBe Verfahren zum Schutz eines Mi- 
krorechners bzw. der erfindungsgemaBe geschiitzte Mikro- 
rechner haben demgegeniiber den Vorteil, daB eine unbe- 
rechtigle Veranderung des Speicherinhalts des wiederbe- 
schreibbaren Speichers zuverlassig erkannt werden kann. Es 
bietet daher einen guten Schutz gegen unberechtigte Mani- 
pulationen des Speicherinhalts. 

Durch die in den abhangigen Anspriichen aufgefiihrten 
MaBnahmen sind vorteilhafte Weiterbildungen und Verbes- 
serungen des Verfahrens bzw. des Mikrorechners nach den 
unabhangigen Patentanspruchen moglich. Durch die Aus- 
fiihrung des Uberprufungsprogramms bei jedem Start des 
Mikrorechners wird gewahrleistet, daB immer ein korrektes 
Programm im wiederbeschreibbaren Speicher gespeichert 
ist. Als Ergebnis des Uberprufungsprogramms kann bei ei- 
ner gefundenen Abweichung der Rechner danii gesperrt 
werden. Dabei konnen auch unterschiedliche Schlussel fiir 
unterschiedliche Bereiche des wiederbeschreibbaren Spei- 
chers vorgesehen werden, so daB einzelne Bereiche zur Ver- 
anderung durch den Anwender freigegeben sind und andere 
Bereiche gesperrt sind. Hiermit wird ermoglicht, ein verbes- 
sertes Programm oder optimierte Datenwerte im Feld, d. h. 
von Servicediensten nachprogrammieren zu lassen ohne 
aber hierdurch die Moglichkeit zu geben, daB TYiningfach- 
leute, welche diese Progranmie erhalten, hieraus modifi- 
ziertc Programme oder Daten erzeugen und abspeichem 
konnen mit anschlieBender Funktion der Elektronik, 

Zeichnungen 

Ausfiihrungsbeispiele der Erfindung sind in den Zeich- 
nungen dargestellt und in der nachfolgenden Beschreibung 
naher erlautert. Es zeigen 

Fig, 1 einen Mikrorechner und 

Fig, 2 einen Programmablauf des Uberprufungspro- 
gramms. 
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Beschreibung 

In der Fig. 1 wird ein Rechner 1 gezxigt, der einen Rech- 
nerkern (CPU) und mehrere Speicher 1, 4, 5 aufweist, Bei 
5 dem Speicher 3 handelt es sich um einen nur-Lesespeicher 
(ROM), beim Speicher 4 um einen Schreib-ZLesespeicher 
(RAM) und beim Speicher 5 um einen wiederbeschreibba- 
ren Speicher (EPROM, FLASH-EPROM). In den Speichem 
sind Programmbefehle oder Daten gespeichert die durch den 
10 Rechnerkem 2 verarbeitet werden. Dabei sind je nach Art 
des Speichers unterschiedliche Daten oder Programme ab- 
gelegt. Der nur-Lesespeicher 3 enthalt ein festgespeichertes 
Programm welches nur durch Herstcllung eines neuen Spei- 
cherbausteins geandert werden kann. In diesem Speicher 
15 wird daher in der Regel ein Minimalprogranmi abgelegt, 
welches die CPU 2 in die Lage versetzt Befehle zu verarbei- 
ten, die in anderen Speichermedien insbesondere dem wie- 
derbeschreibbaren Speicher 5 gespeichert sind. Der Schreib- 
ZLesespeicher 4 ist nur wahrend des laufenden Betriebs des 
20 Mikrorechners 1 in der Lage Daten zu speichem und dient 
daher nur zur Ablage von Daten oder von Programmbefeh- 
len wahrend des laufenden Betriebs des Rechners. Auf die 
Speicherinhalte des Schreib-ZLesespeichers 4 kann beson- 
ders schnell zugegrififen werden, so daB teilweise auch Pro- 
25 gramme von anderen Speichermedien, beispielsweise aus 
dem nur Lesespeicher 3 oder dem wiederbeschreibbaren 
Speicher 5 in den Schreib-ZLesespeicher 4 ubertragen wer- 
den, um von dort aus ausgefuhrt zu werden. Der wiederbe- 
schreibbare Speicher 5, der hier als EPROM oder FLASH- 
30 EPROM ausgefuhrt ist, enthalt Programm abschnitte oder 
Daten, die im gewissen Rahmen veranderbar sein solLen. 
Dadurch wird es moglich den Mikrorechner 1 an unter- 
schiedliche Aufgaben anzupassen. Dies ist besonders vor- 
teilhaft, wenn der Mikrorechner 1 als Steuergerat fur ein 
35 Kraftfahrzeug angewendet wird. Im nur-Lesespeicher 3 
werden dann neben dem Minimalprograrnm Steuerpro- 
gramme fiir den Motor abgelegt, Im wiederbeschreibbaren 
Speicher 5 werden dann Daten, beispielsweise Motorpara- 
meter abgelegt, auf die das Steuerprogramm zugreift. Wei- 
40 terhin konnen zusatzlich Programmodule im wiederbe- 
schreibbaren Speicher 5 abgelegt werden, die z. B. nicht bei 
jedem Steuergerat verwirklicht werden sollen. Es ist so 
moglich, ein Steuergerat fiir unterschiedliche Anwendungen 
zu verwenden. Die Steuerfiinktionen, die fiir alle Anwen- 
45 dungen gleich sind, werden im nur-Lesespeicher 3 abgelegt, 
wahrend die Programme oder Daten die sich bei den einzel- 
nen Anwendungen unterscheiden, im wiederbeschreibbaren 
Speicher 5 abgelegt werden. Problematisch ist dabei jedoch, 
daB diese erhohte Flexibilitat mit dem Risiko erkauft wird, 
50 daB Unbefugte den Speicherinhalt des wiederbeschreibba- 
ren Speichers 5 verandem. In der Anwendung bei Kraftfahr- 
zeugen konnte so beispielsweise die Leistung des Motors 
durch einen Austausch von Daten im wiederbeschreibbaren 
Speicher 5 erhoht werden, Um eine derartige unerwiinschte 
55 Manipulation am Speicherinhalt des wiederbeschreibbaren 
Speichers 5 zu verhindem, wird im nur-Lesespeicher 3 ein 
Uberpriifungsprogramm vorgesehen, welches in der Lage 
ist den Inhalt des Speichers 5 auf derartige unzulassigen An- 
derungen zu untersuchen, 
60 In der Fig. 2 werden Programmschritte dieses Uberprii- 
fungsprogramms dargestellt, Vor dem ersten Programm- 
block 10 des Uberpriifungsprogramms erfolgen die notwen- 
digen MaBnahmen, um die CPU 2 zur Bearbeitung von Pro- 
grammen vorzubereiten. Dabei werden interne Register der 
65 CPU 2 auf Ausgangswerte gesetzt, und die CPU wird so in 
die Lage versetzt, Ein- und Ausgabeoperadonen, die zur Be- 
arbeitung von Befehle notwendig sind, vorzunehmen, Nach 
der Ausfuhrung eines solchen Minimalprogramms bzw, ei- 
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ner derartigen Bootroutine werden dann in einem ersten 
Programmblock des Uberprufungsprogramms aus den im 
wiederbeschreibbaren Speicher 5 enthaltenen Daten ein Co- 
dewort ermittelt. Ein einfaches Beispiel fur ein derartiges 
Codewort besteht in einer Checksumme. Es sollten jedoch 5 
aufwendigere mathernatische Verschliisselungsverfahren 
angewendet werden, die ohne genaue Kenntnis des Ver- 
schlusselungsalgorithmus einem Unbefugten nicht erlau- 
ben, aus dem Inhalt des wiederbeschreibbaren Speichers 5 
das Codewort zu ennitteln. In einem weiteren Programm- lO 
block 11 erfolgt dann ein Vergleich des so emiittelten Code- 
worts mit einem Vergleichscodewort, das im wiederbe- 
schreibbaren Speicher 5 gespeichert ist. Wenn das Codewort 
und das Verglcichswort miteinander ubereinstinunen wird 
das weitere Progranmi, hier durch den Programmblock 12 15 
dargeslellt, fortgesetzt. Wenn das Codewort und das Ver- 
glcichswort nicht iibereinstimmen, wird das Steuergerat 1 
fiir den weiteren Betrieb gesperrt. 

Ein berechtigter Benutzer, der den Inhalt des wiederbe- 
schreibbaren Speichers 5 andem will wird somit mit dem 20 
nur ihm bekannten Verschlusselungsalgorithmus aus dem 
im Speicher 5 abzulegenden Programm ein Vergleichscode- 
wort ermitteln und diese dann mit dem Speicher 5 ablegen. 
Bei der Durchfuhrung des Uberpriifungsprogranuns wird 
dann der Mikrorechner 1 ordnungsgemaB arbeiten. Eine un- 25 
berechtigte Anderung des Speicherinhalts des wiederbe- 
schreibbaren Speichers 5 scheitert daran, daB der Verschlus- 
selungsalgorithmus nicht bekannt ist, so daB es dann nicht 
moglich ist, im wiederbeschreibbaren Speicher S ein kor- 
rektes Vergleichscodewort abzulegen. Durch das Uberpru- 30 
fungsprogramm wird dann der Mikrorechner 1 fur die Bear- 
beitung weiterer Aufgaben gesperrt. Unerwunschte Manipu- 
lationen am Speicherinhalt des wiederbeschreibbaren Spei- 
chers 5 sind somit zuverlassig unterdriickt. 

Das tiberprufungsprogramm kann auch so ausgelegt wer- 35 
den, daB nur einzelne Bereiche des Speichers 5 uberpruft 
werden. Weiterhin ist es moglich, das Uberprufungspro- 
gramm so auszulegen, daB fiir unterschiedliche Bereiche des 
wiederbeschreibbaren Speichers 5 unterschiedliche Ver- 
schlusselungsalgorithmen angewandt werden und fiir jeden 40 
dieser Bereiche ein eigenes Codewort abgelegt wird. Es 
konnen so einzelne Bereiche des wiederbeschreibbaren 
Speichers 5 wahlweise fiir eine Neuprogrammierung ge- 
sperrt werden oder wahlweise freigegeben werden, 

Weiterhin ist es auch moglich statt einer kompletten Sper- 45 
rung des Mikrorechners 1 bei einer Abweichung von Code- 
wort und Vergleichscodewort eine nur teilweise Sperrung 
vorzusehen. Wenn beispielsweise der Mikrorechner 1 als 
Motorsteuergerat verwendet wird, kann vorgesehen werden, 
daB bei einer unberechtigten Manipulation des Kennfeldes 50 
fiir den Zundwinkel statt einer Sperrung der Funktion ein 
Zundwinkel herangezogen wird, der noch einen leistungs- 
verminderten Betrieb des Motors erlaubt und gleichzeitig 
eine Aufforderung auslost, das Fahrzeug bei einer Werkstatt 
reparieren zu lassen. Es kann so sichergestellt werden, daB 55 
auch bei einer zufalligen Veranderung des Inhalts des Spei- 
chers 5 noch eine gewisse Minimalfunktion des Mikrorech- 
ners ausgeiibt wird. 

Weiterhin ist es moglich das tTberprufungsprogramm zu- 
nachst in einem inaktiven Zustand zu lassen und so zunachst 60 
noch Veranderungen des Speicherinhalts des wiederbe- 
schreibbaren Speichers zuzulassen. Dies ist insbesondere 
fiir eine Entwicklungsphase, bei der noch haufig Modifika- 
tionen des im wiederbeschreibbaren Speichers gespeicher- 
ten Programm erforderlich sind von Vorteil. Nach dem Ende 65 
der Enlwicklung wird dann durch die Aktivierung des Ober- 
priifungsprogramms sichergestellt, daB weitere Manipula- 
tionen nur mit Kenntnis des Schlussels moglich sind. 



Patentanspriiche 

1. Vcrfahren zum Schutz eines Mikrorechners (1) ge- 
gen Manipulation seines Programms, wobei der Mikro- 
rechner einen nur-Lesespeicher (3) und einen wieder- 
beschreibbaren Speicher (5) aufweist, wobei minde- 
stens ein Teil des Programms in dem wiederbeschreib- 
baren Speicher (5) gespeichert wird, dadurch gekenn- 
zeichnet, daB ein im nur Lesespeicher (3) enthaltenes 
tiberprufungsprogramm (10, 11) ausgefuhrt wird, bei 
dem mit einem Schlussel aus zu mindestens einem Teil 
des im wiederbeschreibbaren Speichers (5) enthaltenen 
Speicherinhalts ein Codewort ermittelt und mit einem 
im wiederbeschreibbaren Speicher (5) abgelegten Ver- 
gleichscodewort verglichen wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB das Uberpriifungsprogramm (10, 11) bei jedem 
Start des Mikrorechners (1) ausgefiihrt wird. 

3. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, daB bei einer Uberein- 
stimmung des Codewort und des Vergleichscodewort 
der Mikrorechner (1) zur Ausfuhrung weiterer Pro- 
gramme freigegeben und bei einer Nichtiibereinstim- 
mung von Codewort und Vergleichscodewort der Mi- 
krorechner (1) zumindest teilweise gesperrt wird. 

4. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, daB das Uberpriifungs- 
programm mindestens zwei Schlussel aufweist und daB 
jeder Schlussel zur Bildung eines Codeworts eines ihm 
zugeordneten Bereich des wiederbeschreibbaren Spei- 
chers (5) zugeordnet ist. 

5. Geschiitzter Mikrorechner (1) mit einem nur Lese- 
speicher (3) und einem wiederbeschreibbaren Speicher 
(5) wobei im wiederbeschreibbaren Speicher (5) ein 
Programm gespeichert ist, dadurch gekennzeichnet, 
daB im nur Lesespeicher (3) ein "Oberpriifungspro- 
gramm (10, 11) gespeichert ist, daB das tiberprufungs- 
programm (10, 11) in Abhangigkeit vom Inhalt des 
wiederbeschreibbaren Speichers (5) ein Codewort bil- 
det und dieses Codewort mit einem im wiederbe- 
schreibbaren Speicher (5) abgelegten Vergleichscode- 
wort vergleicht. 

6. Mikrorechner nach Anspruch 5, dadurch gekenn- 
zeichnet, daB der Mikrorechner bei jedem Start eine 
Bootroutine ausfiihrt und daB das tJberpriifungspro- 
gramm Teil dieser BooUroutine ist. 

7. Mikrorechner nach Anspruch 5 oder 6, dadurch ge- 
kennzeichnet, daB bei einer Nichtiibereinstimmung von 
Codewort und Vergleichscodewort die Abarbeitung 
weiterer Befehle durch einen Rechnerkem (2) gesperrt 
wird. 

8. Mikrorechner nach Anspruch 5 bis 7, dadurch ge- 
kennzeichnet, daB mehrere Schlussel vorgesehen sind, 
die jeweils einem Bereich des wiederbeschreibbaren 
Speichers (5) zugeordnet sind, und daB mehrere Ver- 
gleichscodeworter im wiederbeschreibbaren Speicher 
(5) vorgesehen sind, die jeweils einem der Speicherbe- 
reiche zugeordnet sind, 

9. Mikrorechner nach Anspruch 5 bis 8, dadurch ge- 
kennzeichnet, daB der wiederbeschreibbare Schreiber 
(5) als Flash-Spcicher ausgebildet ist. 

10. Mikrorechner nach Anspruch 5 bis 8, dadurch ge- 
kennzeichnet, daB der nur Lesespeicher (3) ein speziel- 
ler Bereich im Rash-Speicher ist. 
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